Kryptographie in Mobilfunknetzen

Transkript

1 Seminar Angewandte Systemtheorie Kryptographie in Mobilfunknetzen, WS 2004/2005

2 Wozu Kryptographie in Mobilfunknetzen? Analoger Funk (B, C, D-Netz (Austria)) kann mitgehört werden GSM sollte gleiche Sicherheitsmerkmale wie Festnetz besitzen (digital) Darum Verschlüsselung der Gesprächsdaten der Luftschnittstelle Kryptographie in Mobilfunknetzen Folie 2

3 Kryptographische Verfahren in GSM Mobilfunknetzen A3 Algorithmus zur Autorisierung A8 Algorithmus zur Schlüsselberechnung A5 Algorithmus Familie zur Verschlüsselung der Nutzdaten (A5/1 mit 64 Bit, A5/2 mit 16 Bit, A5/3 ähnlich UMTS) UMTS KASUMI - Algorithmus Kryptographie in Mobilfunknetzen Folie 3

4 GSM-Netze A3 Algorithmus zur Autorisierung des mobilen Teilnehmers beim Serviceprovider A8 Algorithmus zur Berechnung des Sitzungsschlüssels für A5 A3 und A8 im Referenzstandard als Comp128 beschrieben A5 Algorithmus zur Verschlüsselung der Nutzdaten Kryptographie in Mobilfunknetzen Folie 4

5 A3 - Algorithmus Mobilstation generiert 128 Bit Zufallszahl RAND Schlüssel Ki ist auf der SIM und beim Netzbetreiber hinterlegt A3 berechnet SRES SRES = SRES => erfolgreich Kryptographie in Mobilfunknetzen Folie 5

6 A3 - Algorithmus A3 kann von jedem Mobilfunknetzprovider selbst implementiert werden Ki und Berechnung SRES findet immer im AuC statt SRES kann mitgehört werden, durch RAND existiert bei jeder Berechnung ein neuer Wert Berechnung von SRES muss mittels einer Einwegfunktion erfolgen Kryptographie in Mobilfunknetzen Folie 6

7 A8 - Algorithmus Nach erfolgreicher Autorisierung RAND bereits bekannt Ki auf SIM und beim Netzprovider hinterlegt A8 berechnet Kc Schlüssel für A5 Kryptographie in Mobilfunknetzen Folie 7

8 A8 - Algorithmus A8 kann von jedem Mobilfunknetzprovider selbst implementiert werden Berechnung von Kc muss mittels einer Einwegfunktion erfolgen Berechnung erfolgt beim mobilen Teilnehmer und Netzbetreiber Kryptographie in Mobilfunknetzen Folie 8

9 Comp128 - Referenzstandard Comp128 implementiert A3 und A8 in einem Algorithmus Ergebnis beinhaltet 96 Bit, wobei 32 Bit auf SRES und 64 Bit auf Kc fallen Dabei muss sichergestellt sein, dass von SRES und RAND nicht auf Ki und Kc geschlossen werden kann (Comp128 wird von vielen Netzbetreibern verwendet!) Kryptographie in Mobilfunknetzen Folie 9

10 A5 - Algorithmus A5/1 arbeitet mit 64 Bit Schlüssel wobei 10 Bits auf 0 gesetzt werden (Anwendung in Europa) A5/2 arbeitet mit 16 Bit Schlüssel (für Export bestimmt) A5/3 basiert auf KASUMI und ist somit ein Blockchiffrierer Kryptographie in Mobilfunknetzen Folie 10

11 A5/1 - Algorithmus Stromchiffrierer verwendet 64 Bit Schlüssel, wobei nur 54 Bit verwendet werden Erzeugt einen pseudozufälligen Bitstrom Arbeitet mit drei linearen Schieberegister mit der Länge 19, 22 und 23 Bit => 64 Bit- Schlüssel Schieberegister werden getaktet Kryptographie in Mobilfunknetzen Folie 11

12 Kryptographie in Mobilfunknetzen Folie 12 A5/1 - Algorithmus 1 ) ( 1 ) ( 1 ) ( = = = x x x x x p x x x x p x x x x p

13 A5/1 - Algorithmus Alle Register mit Nullvektor laden Kc in jedes Register laden und 64x takten Nach 8, 14, 21 Takten fängt das LSFR zu arbeiten an Framenummer in jedes Register laden (22 Bit) und 22x takten 100x takten und Output verwerfen Nachfolgende 228 Bits zur Verschlüsselung, ersten 114 Bits von der Luftschnittstelle zum Mobiltelefon, restlichen 114 Bits vom Mobiltelefon zur Luftschnittstelle Kryptographie in Mobilfunknetzen Folie 13

14 UMTS-Netze KASUMI basiert auf MISTY von Mitsubishi KASUMI sowohl für Autorisierung, Schlüsselerzeugung und Verschlüsselung der Nutzdaten Standardisiert durch 3GPP und auch publiziert Kryptographie in Mobilfunknetzen Folie 14

15 UMTS-Netze Soll Schwachstellen der GSM- Verschlüsselung beheben Arbeitet ausschließlich mit 128 Bit Schlüssel Ende-zu-Ende Verschlüsselung vorgesehen (2. Phase) Kryptographie in Mobilfunknetzen Folie 15

16 KASUMI - Algorithmus Blockchiffrierer mit 128 Bit Schlüssel Feistel Chiffrieralgorithmus mit 8 Runden 64 Bit Ein-/Ausgabe Blöcke Kryptographie in Mobilfunknetzen Folie 16

17 KASUMI - Algorithmus 64 Bit Eingabe wird auf zwei 32 Bit Blöcke geteilt I = L 0 R 0 Für jede Runde i, gilt: R i = Li 1, Li = Ri 1 fi ( Li 1, RKi ) f i,, die Rundenfunktion mit den Eingabewerten L i-1 und den Rundenschlüssel RK i 64 Bit Ergebnis ( L R 8 8 ) Kryptographie in Mobilfunknetzen Folie 17

18 Funktion fi - Rundenfunktion 32 Bit Ein-/Ausgabe RK i ist Trippel aus KL i, KO i, KI i Besteht aus Subfunktion FL i und FO i Für die ungerade Runden gilt: f i ( I, RKi ) = FO( FL( I, KLi ), KOi, KIi ) Für gerade Runden gilt: f i ( I, RKi ) = FL( FO( I, KOi, KIi ), KLi ) Kryptographie in Mobilfunknetzen Folie 18

19 Funktion FL 32 Bit Ein-/Ausgabe 32 Bit Subschlüssel KL i Eingabe auf 16 Bit gesplittet Subschlüssel auf 16 gesplittet Wir definieren: R" = R ROL L" = L ROL ( L KL ) i,1 ( R" KL ) i,2 Kryptographie in Mobilfunknetzen Folie 19

20 Funktion FO 32 Bit Ein-/Ausgabe zwei 48 Bit Subschlüssel KO i und KI i Eingabe auf 16 Bit gesplittet Die 2 Subschlüssel auf drei 16 Bit Blöcke gesplittet KO i = KOi, 1 KOi,2 KOi,3, KIi = KIi,1 KIi,2 KIi 1 i 3 Für jede Runde j gilt: R L j j = FI( L = R j 1 KO KI j 1 i, j, i, j ) R j 1,3 Kryptographie in Mobilfunknetzen Folie 20

21 Funktion FI 16 Bit Ein-/Ausgabe, gesplittet auf 9 Bit und 7 Bit 16 Bit Subschlüssel, gesplittet auf 9 Bit und 7 Bit KI i, j = KI i, j,1 KI i, j,2 2 S-Boxen, S7 7 Bit, S9 9 Bit Zwei weiter Funktion ZE(x) und TR(x) ZE(x) 7 Bit konvertiert auf 9 Bit (2 Bit des Most-significant Ende mit Wert 0 aufgefüllt) TR(x) 9 Bit konvertiert auf 7 Bit (2 Bit des Most-significant Ende werden gelöscht) Kryptographie in Mobilfunknetzen Folie 21

22 Funktion FI Folgende Operationen sind definiert: L 1 = R 0 R 1 = R S9[ L0 ] ZE( 0 ) L 2 = R1 KI i, j,2 R2 = S7[ L1 ] TR( R1 ) KI i, j, 1 L 3 = R 2 R 3 = R S9[ L2 ] ZE( 2 ) L = S7[ L3 ] TR( 3) R 4 = R3 4 R Kryptographie in Mobilfunknetzen Folie 22

23 S-Boxen und Key-Schedule Sind im Standard der Organisation 3GPP beschrieben Standard: TS Kryptographie in Mobilfunknetzen Folie 23

24 Angriffe und Sicherheitslücken Der die GSM-Algorithmen wurden nie publiziert und konnten erst nach Auftauchen der geheimen Spezifikation nach Fehlern untersucht werden Diese weisen auch Sicherheitsmängel auf KASUMI wurde sofort publiziert und unterbindet Sicherheitslücken von GSM KASUMI wurde publiziert und ist wohluntersucht Kryptographie in Mobilfunknetzen Folie 24

25 Angriffe in GSM-Netzen IMSI-Catcher Clonen von GSM SIM-Karten Auslesen des Schlüssel Ki Verschiedne Angriffe auf A5/1 und A5/2 Angriff von R. Anderson und M.Roe, 1994 Das Divide-and-Conquer Verfahren, 1997 beschrieben von J. Golic Das Time-Memory Trade-off Verfahren, 1997 von J. Golic Das Verfahren von A. Biryukov, A. Shamir und D.Wagner, 1999 Kryptographie in Mobilfunknetzen Folie 25

26 Angriffe in GSM-Netzen Weiter Sicherheitsbedenken Die Verschlüsselung der Daten erfolgt nur vom Mobilteil zur Basisstation, Die im A5/1 Algorithmus verwendeten Register des LSFR sind reichlich kurz Die verwendeten Polynome im A5/1 Algorithmus sind eher dünn besetzt Bei der Implementierung des A5/1 Algorithmus werden einfach 10 Bits auf den Wert 0 gesetzt, was einen effektiven Schlüssel von 54 Bit ergibt Brute-force Angriffe (vollständige Schlüsselsuche) sind damit durchaus denkbar durch eine Komplexität von 2 54 Kryptographie in Mobilfunknetzen Folie 26

27 Angriffe in UMTS-Netzen KASUMI ersetzt schwachen A5 und Comp128 Algorithmus KASUMI wurde veröffentlicht und ist wohluntersucht Alle verwendeten Schlüssel haben 128 Bit Einsatz von IMSI-Catcher nicht mehr möglich Kryptographie in Mobilfunknetzen Folie 27

28 Angriffe in UMTS-Netzen Ende-zu-Ende Verschlüsselung ab 2. Phase möglich, jedoch noch nicht im Einsatz wegen folgenden Problemen Regierungen hätten gerne Schlüssel hinterlegt Schwierig ist die Frage wer Zugriff auf Schlüssel bekommt Royal Holloway Protokoll (Vodafone) Zugriff auf die Schlüssel für die Länder, aus denen die Teilnehmer kommen Diffie-Hellman-Variante: supergeheimer Masterkey kann aus Namen der Teilnehmer ihre Schlüssel generieren Netzbetreiber wollen Masterkeys vermeiden Klobig, ineffizient Roaming-Problem: auch andere Länder wollen Zugriff auf Masterkey Kryptographie in Mobilfunknetzen Folie 28

29 Danke für die Aufmerksamkeit

30 Kryptographie in Mobilfunknetzen Folie 30

31 Anhang: S-Boxen S7 Kryptographie in Mobilfunknetzen Folie 31

32 Anhang: S-Boxen S9 Kryptographie in Mobilfunknetzen Folie 32

33 Anhang: Key Schedule (Auszug aus der Seminararbeit) Kryptographie in Mobilfunknetzen Folie 33

34 Anhang: Key Schedule Kryptographie in Mobilfunknetzen Folie 34

35 Anhang: Key Schedule Kryptographie in Mobilfunknetzen Folie 35